Европейцы, как известно, любят хорошее вино, и эта культурная особенность была использована против них злоумышленниками в ходе недавней кампании угроз. Целью кибероперации было доставить новый бэкдор заманивая дипломатов Европейского Союза (ЕС) фальшивой дегустацией вин.
Исследователи из ThreatLabz компании Zscaler обнаружили кампанию, которая была специально нацелена на чиновников из стран ЕС с индийскими дипломатическими миссиями, написали они. в блоге опубликовано 27 февраля. Актер, получивший соответствующее прозвище «SpikedWine», использовал PDF-файл в электронных письмах под видом приглашения от посла Индии, приглашающего дипломатов на дегустацию вин 2 февраля.
«Мы считаем, что эту атаку осуществил субъект угрозы национальному государству, заинтересованный в использовании геополитических отношений между Индией и дипломатами в европейских странах», — написали в своем сообщении исследователи Zscaler ThreatLabz Судип Сингх и Рой Тэй.
Полезная нагрузка кампании заключается в задняя дверь который исследователи назвали «WineLoader», который имеет модульную конструкцию и использует методы, специально предназначенные для уклонения от обнаружения. К ним относятся повторное шифрование и обнуление буферов памяти, которые служат для защиты конфиденциальных данных в памяти и обхода решений по криминалистике памяти, отметили исследователи.
SpikedWine использовал скомпрометированные веб-сайты для управления и контроля (C2) на нескольких этапах цепочки атаки, которая начинается, когда жертва нажимает на ссылку в PDF-файле, и заканчивается модульной доставкой WineLoader. В целом, по словам исследователей, кибератаки продемонстрировали высокий уровень сложности как в творческой разработке кампании с использованием социальной инженерии, так и в разработке вредоносного ПО.
SpikedWine раскрывает несколько этапов кибератаки
Zscaler ThreatLabz обнаружил PDF-файл — приглашение на предполагаемую дегустацию вин в резиденции посла Индии — загруженный на VirusTotal из Латвии 30 января. Злоумышленники тщательно подготовили содержимое, чтобы выдать себя за посла Индии, и приглашение содержит вредоносную ссылку. на фальшивую анкету под предлогом, что для участия ее необходимо заполнить.
Щелчок — эээ, щелчок — по ссылке перенаправляет пользователей на взломанный сайт, который начинает загрузку zip-архива, содержащего файл под названием «wine.hta». Загруженный файл содержит запутанный код JavaScript, который выполняет следующий этап атаки.
В конечном итоге файл запускает файл с именем sqlwriter.exe по пути: C:WindowsTasks, чтобы запустить цепочку заражения бэкдором WineLoader, загружая вредоносную DLL с именем vcruntime140.dll. Это, в свою очередь, выполняет экспортированную функцию set_se_translator, который расшифровывает встроенный основной модуль WineLoader в DLL с использованием жестко закодированного 256-байтового ключа RC4 перед его выполнением.
WineLoader: модульное и постоянное вредоносное ПО для бэкдора
WineLoader имеет несколько модулей, каждый из которых состоит из данных конфигурации, ключа RC4 и зашифрованных строк, за которыми следует код модуля. Модули, наблюдаемые исследователями, включают основной модуль и модуль персистентности.
Модуль ядра поддерживает три команды: выполнение модулей с сервера управления (C2) синхронно или асинхронно; внедрение бэкдора в другую DLL; и обновление интервала ожидания между запросами маяка.
Модуль персистентности предназначен для того, чтобы позволить черный ход выполнять себя через определенные промежутки времени. Он также предлагает альтернативную конфигурацию для сохранения реестра в другом месте на целевой машине.
Тактика уклонения кибертаккера
По словам исследователей, WineLoader имеет ряд функций, специально предназначенных для уклонения от обнаружения, что демонстрирует заметный уровень сложности SpikedWine. Он шифрует основной модуль и последующие модули, загруженные с сервера C2, строки и данные, отправленные и полученные от C2, с помощью жестко запрограммированного 256-байтового ключа RC4.
По словам исследователей, вредоносное ПО также расшифровывает некоторые строки при использовании, которые затем вскоре повторно шифруются. И он включает в себя буферы памяти, в которых хранятся результаты вызовов API, а также заменяет расшифрованные строки нулями после использования.
Еще одним примечательным аспектом работы SpikedWine является то, что злоумышленник использует скомпрометированную сетевую инфраструктуру на всех этапах цепочки атаки. В частности, по их словам, исследователи выявили три скомпрометированных веб-сайта, которые используются для размещения промежуточной полезной нагрузки или в качестве серверов C2.
Защита и обнаружение (как избежать пятен от красного вина)
Zscaler ThreatLabz уведомила контакты в Национальном центре информатики (NIC) в Индии о злоупотреблении темами индийского правительства в ходе атаки.
По словам исследователей, поскольку сервер C2, использованный в атаке, в определенное время отвечает только на определенные типы запросов, решения для автоматического анализа не могут получать ответы C2 и модульные полезные данные для обнаружения и анализа. Чтобы помочь защитникам, они включили в свой блог список индикаторов компрометации (IoC) и URL-адресов, связанных с атакой.
Многослойный платформа облачной безопасности должны обнаруживать IoC, связанные с WineLoader, на различных уровнях, например, любые файлы с именем угрозы Win64.Downloader.WineLoader, отметили исследователи.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- :имеет
- :является
- 27
- 30
- 7
- a
- О нас
- злоупотребление
- После
- против
- Нацеленный
- Все
- Позволяющий
- причислены
- альтернатива
- посол
- an
- анализ
- и
- Другой
- любой
- API
- надлежащим образом
- архив
- МЫ
- AS
- внешний вид
- связанный
- At
- атаковать
- Автоматизированный
- избежать
- задняя дверь
- BE
- маяк
- было
- до
- за
- верить
- между
- Блог
- изоферменты печени
- by
- под названием
- Объявления
- Кампания
- не могу
- осторожно
- проводятся
- Центр
- определенный
- цепь
- характеристика
- код
- скомпрометированы
- Ослабленный
- Конфигурация
- состоит
- контакты
- содержит
- содержание
- Основные
- страны
- проработаны
- творческий
- культурный
- кибер-
- Кибератака
- данным
- Защитники
- доставить
- поставка
- демонстрирующий
- Проект
- обнаруживать
- обнаружение
- дипломаты
- открытый
- скачать
- дублированный
- каждый
- или
- Писем
- встроенный
- работает
- зашифрованный
- окончания поездки
- инженерии
- пользоваться
- установить
- EU
- Европейская кухня
- Европейский Союз
- Европейский союз (ЕС)
- Evade
- События
- выполнять
- Выполняет
- проведение
- выполнение
- эксплуатации
- не настоящие
- фев
- Файл
- Файлы
- заполненный
- конец
- следует
- Что касается
- судебно-медицинская экспертиза
- от
- функция
- Функции
- геополитический
- Правительство
- Охрана
- Есть
- помощь
- High
- хостинг
- Как
- How To
- HTTPS
- идентифицированный
- олицетворять
- in
- включают
- включены
- включает в себя
- Индия
- Индийская кухня
- правительство Индии
- индикаторы
- Инфраструктура
- заинтересованный
- в
- приглашение
- приглашать
- манящий
- IT
- саму трезвость
- Января
- JavaScript
- Основные
- известный
- ЛАТВИЯ
- письмо
- уровень
- уровни
- LINK
- Список
- погрузка
- расположение
- машина
- злонамеренный
- вредоносных программ
- Память
- миссиях
- модульный
- Модули
- Модули
- Многослойный
- с разными
- должен
- имя
- Названный
- национальный
- Наций
- сеть
- следующий
- примечательный
- отметил,
- номер
- of
- Предложения
- чиновников
- on
- только
- работает
- операция
- or
- заказ
- внешний
- общий
- участвовать
- путь
- настойчивость
- фаз
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- После
- доходы
- защиту
- опубликованный
- получила
- последний
- Red
- реестра
- Связанный
- отношения
- Запросы
- исследователи
- Проживание
- ответы
- Итоги
- Рой
- s
- Сказал
- безопасность
- чувствительный
- послать
- служить
- сервер
- Серверы
- несколько
- вскоре
- должен
- показал
- сайте
- спать
- социально
- Решения
- некоторые
- утонченность
- конкретный
- конкретно
- Спонсоров
- Этап
- этапы
- Начало
- начинается
- магазин
- последующее
- такие
- Поддержка
- тактика
- целевое
- Тей
- снижения вреда
- который
- Ассоциация
- их
- Их
- темы
- тогда
- они
- этой
- те
- угроза
- три
- раз
- в
- ОЧЕРЕДЬ
- Типы
- под
- союз
- обновление
- загружено
- использование
- используемый
- пользователей
- использования
- через
- различный
- Жертва
- we
- веб-сайты
- ЧТО Ж
- когда
- который
- ВИНО
- в
- писал
- зефирнет
- ZIP